Làm cách nào để xử lý các dấu ngoặc kép 'trong SQL

Question

Tôi có một cơ sở dữ liệu có tên trong đó chẳng hạn như John Doe, vv Thật không may, một số tên trong số này có chứa các dấu ngoặc kép như Keiran O'Keefe. Bây giờ, khi tôi thử và tìm kiếm những tên như sau:

SELECT * FROM PEOPLE WHERE SURNAME='O'Keefe' 

Tôi (có thể hiểu) gặp lỗi.

Làm cách nào để ngăn lỗi này xảy ra. Tôi đang sử dụng Oracle và PLSQL.

Answer 1

Ký tự thoát là ', vì vậy bạn cần phải thay thế báo giá bằng hai dấu ngoặc kép.

Ví dụ,

SELECT * FROM PEOPLE WHERE SURNAME='O'Keefe'

trở thành

SELECT * FROM PEOPLE WHERE SURNAME='O''Keefe'

Điều đó nói rằng, nó có thể không chính xác để làm điều này cho mình. Ngôn ngữ của bạn có thể có một chức năng để thoát khỏi chuỗi để sử dụng trong SQL, nhưng một lựa chọn tốt hơn là sử dụng các tham số. Thông thường điều này hoạt động như sau.

lệnh SQL của bạn sẽ là:

SELECT * FROM PEOPLE WHERE SURNAME=?

Sau đó, khi bạn thực hiện nó, bạn vượt qua trong "O'Keefe" như một tham số.

Vì SQL được phân tích cú pháp trước khi giá trị tham số được đặt, không có cách nào cho giá trị tham số thay đổi cấu trúc của SQL (và thậm chí nhanh hơn một chút nếu bạn muốn chạy cùng một câu lệnh nhiều lần với các tham số khác nhau).

Tôi cũng nên chỉ ra rằng, trong khi ví dụ của bạn chỉ gây ra lỗi, bạn tự mở cho mình nhiều vấn đề khác bằng cách không thoát chuỗi một cách thích hợp. Xem http://en.wikipedia.org/wiki/SQL_injection để có điểm xuất phát tốt hoặc cổ điển sau đây xkcd comic.

Answer 2

Tìm thấy ở dưới độ tuổi 30 trên Google ...

Oracle SQL FAQ

Answer 3

lọc đầu vào thường được thực hiện vào mức độ ngôn ngữ chứ không phải là lớp cơ sở dữ liệu.
php và .NET đều có thư viện tương ứng để thoát khỏi các câu lệnh sql. Kiểm tra ngôn ngữ của bạn, xem waht có sẵn.
Nếu dữ liệu của bạn là đáng tin cậy, thì bạn chỉ có thể làm một chuỗi thay thế để thêm một 'infront khác của' để thoát khỏi nó. Thông thường đó là đủ nếu không có bất kỳ rủi ro mà đầu vào là độc hại.

Answer 4

Tôi cho rằng câu hỏi hay là ngôn ngữ bạn đang sử dụng?
Trong PHP bạn sẽ làm: SELECT * FROM PEOPLE WHERE SURNAME = 'mysql_escape_string (O'Keefe)'
Nhưng vì bạn không chỉ định ngôn ngữ, tôi sẽ đề nghị bạn xem xét một hàm chuỗi thoát mysql hoặc cách khác trong ngôn ngữ.

Answer 5

Truy vấn tham số là bạn của bạn, theo đề xuất của Matt.

Command = SELECT * FROM PEOPLE WHERE SURNAME=? 

Họ sẽ bảo vệ bạn khỏi đau đầu liên quan với

• Strings với dấu ngoặc kép
• Truy vấn sử dụng ngày
• SQL Injection

Answer 6

Sử dụng SQL tham số có những lợi ích khác, nó giảm chi phí CPU (cũng như các tài nguyên khác) trong Oracle bằng cách giảm số lượng công việc Oracle req uires để phân tích cú pháp tuyên bố. Nếu bạn không sử dụng tham số (chúng tôi gọi chúng là các biến liên kết trong Oracle) thì "select * from foo where bar = 'cat'" và "select * from foo where bar = 'dog'" được coi là các câu lệnh riêng biệt, ở đâu là " chọn * từ foo nơi bar =: b1 "là cùng một câu lệnh, có nghĩa là những thứ như cú pháp, giá trị của các đối tượng được tham chiếu vv ... không cần phải được kiểm tra lại. Có những vấn đề thường xảy ra khi sử dụng các biến liên kết thường không thể nhận được kế hoạch thực hiện SQL hiệu quả nhất nhưng có cách giải quyết cho vấn đề này và các vấn đề này thực sự phụ thuộc vào các biến vị ngữ bạn đang sử dụng, lập chỉ mục và dữ liệu nghiêng.

Answer 7

Oracle 10 giải pháp là

SELECT * FROM PEOPLE WHERE SURNAME=q'{O'Keefe}' 

Answer 8

Để đối phó dấu ngoặc kép nếu bạn đang sử dụng Zend Framework đây là mã

$db = Zend_Db_Table_Abstract::getDefaultAdapter();

$db->quoteInto('your_query_here = ?','your_value_here');

ví dụ;

//SELECT * FROM PEOPLE WHERE SURNAME='O'Keefe' will become 
SELECT * FROM PEOPLE WHERE SURNAME='\'O\'Keefe\''